サードパーティーの SAML 2.0 アイデンティティプロバイダーを使用した属性ベースのアプリケーションの使用権限 - Amazon AppStream 2.0

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

サードパーティーの SAML 2.0 アイデンティティプロバイダーを使用した属性ベースのアプリケーションの使用権限

アプリケーション使用権限は、AppStream 2.0 スタック内の特定のアプリケーションへのアクセスを制御します。これは、サードパーティーの SAML 2.0 アイデンティティプロバイダーからの SAML 2.0 属性アサーションを使用して動作します。アサーションは、ユーザーアイデンティティが AppStream 2.0 2.0 SAML アプリケーションにフェデレートされるときの値に一致します。使用権限が true で、属性の名前と値が一致する場合、スタック内の 1 つ以上のアプリケーションに対するユーザーアイデンティティへのアクセス権が付与されます。

以下のシナリオでは、サードパーティーの SAML 2.0 アイデンティティプロバイダーを使用する属性ベースのアプリケーションの使用権限は適用されません。つまり、次のような場合、使用権限は無視されます。

  • AppStream 2.0 ユーザープール認証。詳細については、「AppStream 2.0 ユーザープール」を参照してください。

  • AppStream 2.0 ストリーミング URL 認証。詳細については、「ストリーミング URL」を参照してください。

  • AppStream 2.0 フリートがデスクトップストリームビュー用に設定されている場合のデスクトップアプリケーション。詳細については、「 AppStream 2.0 フリートとスタックを作成する」を参照してください。

  • 動的アプリケーションフレームワークを使用するスタック。動的アプリケーションフレームワークは、個別のアプリケーションの使用権限機能を提供します。詳細については、「動的アプリケーションフレームワークを使用した動的アプリケーションプロバイダーからのアプリケーションの使用権限の適用」を参照してください。

  • ユーザーが AppStream 2.0 アプリケーションカタログにフェデレートすると、アプリケーションの使用権限には、ユーザーが資格が付与されているアプリケーションのみが表示されます。AppStream 2.0 セッション内でのアプリケーションの実行に制限はありません。例えば、デスクトップストリームビュー用に設定されたフリートでは、ユーザーはデスクトップから直接アプリケーションを起動できます。

アプリケーションの使用権限の作成

アプリケーションの使用権限を作成する前に、以下を実行する必要があります。

  • AppStream 2.0 フリートを作成し、ニーズを満たす 1 つ以上のアプリケーション(常時オンまたはオンデマンドフリート)または割り当てられたアプリケーション(Elastic フリート)を含むイメージでスタックします。詳細については、「 AppStream 2.0 フリートとスタックを作成する」を参照してください。

  • サードパーティーの SAML 2.0 アイデンティティプロバイダーを使用して、スタックへのユーザーアクセスを提供します。詳細については、「Amazon AppStream 2.0 と SAML 2.0 の統合」を参照してください。以前にセットアップした既存の SAML 2.0 アイデンティティプロバイダーを使用している場合は、「ステップ 2: SAML 2.0 フェデレーション IAM ロールを作成する」のIAM ロールの信頼ポリシーに sts:TagSession 許可を追加する手順を参照してください。詳細については、「AWS STS でのセッションタグの受け渡し」を参照してください。この許可は、アプリケーションの使用権限を使用するために必要です。

アプリケーション使用権限を作成するには
  1. AppStream 2.0 コンソールを開きます

  2. 左のナビゲーションペインで、[Stacks] (スタック) を選択し、アプリケーションの使用権限を管理するスタックを選択します。

  3. [Application Entitlements] (アプリケーションの使用権限) ダイアログボックスで、[Create] (作成) を選択します。

  4. 使用権限の[Name] (名前) と[Description] (説明) を入力します。

  5. 使用権限の属性名と値を定義します。

    属性をマッピングする場合は、https://aws.amazon.com/SAML/Attributes/PrincipalTag:{TagKey} の形式で属性を指定します。{TagKey} は次の属性のいずれかです。

    • ロール

    • department

    • 組織

    • グループ

    • title

    • costCenter

    • userType

    定義した属性は、アプリケーションが AppStream 2.0 セッションにフェデレートされるときに、スタック内のアプリケーションをユーザーに付与するために使用されます。使用権限は、フェデレーション中に作成された SAML アサーションのキーバリュー名と、属性名を一致させることによって機能します。詳細については、「SAML PrincipalTag 属性」を参照してください。

    注記

    1 つ以上の値をコロン (:) で区切って、サポートされている属性に含めることができます。

    たとえば、グループ情報を SAML 属性名 https://aws.amazon.com/SAML/Attributes/PrincipalTag:groups に「group1: group2: group3」という値で渡すことができます。使用権限は、単一のグループ値、例えば「group1」に基づいてアプリケーションを許可できます。詳細については、「SAML PrincipalTag 属性」を参照してください。

  6. スタック内のアプリケーション設定を構成して、すべてのアプリケーションに資格を付与するか、アプリケーションを選択します。[All applications (*)] (すべてのアプリケーション (*)) を選択すると、将来追加されるアプリケーションを含め、スタックで使用可能なすべてのアプリケーションを適用します。[Select applications] (アプリケーションの選択) を選択すると、特定のアプリケーション名をフィルタリングします。

  7. 設定を確認して使用権限を作成します。このプロセスを繰り返して、追加の使用権限を作成できます。スタック内のアプリケーションに対する使用権限は、属性名と値に基づいてユーザーと一致するすべての使用権限の組合わせとなります。

  8. SAML 2.0 アイデンティティプロバイダーで、使用権限で定義された属性と値を送信するように、AppStream 2.0 SAML アプリケーション属性マッピングを設定します。ユーザーが AppStream 2.0 アプリケーションカタログにフェデレートすると、アプリケーションの使用権限には、ユーザーが資格が付与されているアプリケーションのみが表示されます。

SAML 2.0 マルチスタックアプリケーションカタログ

サードパーティー SAML 2.0 アイデンティティプロバイダーを使用する属性ベースのアプリケーションの使用権限を使用すると、単一のリレー状態 URL から複数のスタックへのアクセスを有効にできます。次のように、リレー状態 URL からスタックと アプリケーション (存在する場合) パラメータを削除します。

https://relay-state-region-endpoint?accountId=aws-account-id-without-hyphens

ユーザーが AppStream 2.0 アプリケーションカタログにフェデレートすると、スタックが配置されているリージョンに関連付けられたアカウント ID およびリレー状態エンドポイントについて、アプリケーションの使用権限が 1 つ以上のアプリケーションをユーザーに一致させたすべてのスタックが表示されます。ユーザーがカタログを選択すると、アプリケーションの使用権限には、そのユーザーが資格を持つアプリケーションのみが表示されます。詳細については、「ステップ 6: フェデレーションのリレーステートを設定する」を参照してください。

注記

SAML 2.0 マルチスタックアプリケーションカタログを使用するには、SAML 2.0 フェデレーション IAM ロールのインラインポリシーを設定する必要があります。詳細については、「ステップ 3: IAM ロールにインラインポリシーを埋め込む」を参照してください。